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Mikrocontroller und zugeordnetes Verfahren zum Abarbeiten der Programmierung des 
Mikrocontrollers 

Die vorliegende Erfindung betrifil einen Mikrocontroller, dessen Programmierung in . ' 
mindestens einer maschinenabhahgigen Assemblersprache yorgenommen ist, bei der. die 
Assemblerbefehle mit Ausnahme bedingter Programmsprunge bzw. konditioneller Pro- 
grammverzweigungen im wesentlichen unabhSngig von Daten ausfiihrbar sind. 

Die vorliegende Erfindung betriffi des weiteren ein Verfahren zum Abarbeiten der in 
mindestens einer maschinenabhangigen Assemblersprache vorgenommenen Programmie- 
rung eines Mikrocontrollers der vorgenannten Art. 

Als Mikrocontroller werden Einchip-Mikrocomputer bezeichnet, die in der Regel zum 
Steuern von Geraten verwendet werden und bei denen C[entral]P[rocdssing]U[nit], 
Speicher und Ports auf einem Chip integriert sind. Die Programmierung von Mikrocont- 
rollern erfolgt in maschinenabhangiger Assemblersprache. Bei den bekannten Assembler- 
sprachen werden hierbei mit Ausnahme der bedingten Programmsprunge bzw. der kondi- 
tionellen Programmverzweigungen alle Assemblerbefehle unabh'angig von Daten ausge- 
fuhrt. • , ■ ' • 

Ein bedingter Programmsprung bzw. eine konditionelle Programmverzweigung wird 
ublicherweise wie folgt realisiert: Die zu Oberpriifende Bedingung, in der Regel mindes- 
tens ein Statusflag, wird getestet. Wird hierbei festgestellt, dass ein« Sprung bzw. eine 
Verzweigung stattfinden soil, so wird der Programmcounter mit einer neuen Programm- 
adresse (= mit einem neuen "Wert") geladen. Wenn kein Sprung bzw. keine Verzwei- 
gung stattfinden soli, so wird die lnstruktion beendet, denn der Programmcounter enthalt 
ja schon automatisch den nSchsten Wert, das heiBt die nSchste Adresse. 
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Ein derartiges Procedere bedingt, dass bei bedingten Programmsprungen bzw. bei kondi- 
tionellen Programmverzweigungen ein zeitlicher Unterschied in der Instruktionsaus- 
fuhrung auftreten kann. Dieser zeitliche Unterschied in der lnstruktionsausfiihrung liegt 
darin begriindet, dass im springenden bzw. verzweigenden Falle zusatzlich noch der 
5 Programmcounter auf einen neuen Wert (auf eine neue Programmadresse) gesetzt wird, 
wahrend im nicht-springenden bzw. nicht- verzweigenden Faile die Instruktion nach dem 
Bedingungstest beendet ist 

Dies bedeutet, dass die Befehlsausfuhrung bedingter Spriinge bzw. konditioneller Ver- 
io zweigungen in Mikrocontrollerprbgrammen ublicherweise unterschiedliche Ausfiihrungs- 
zeiten urid damit auch unterschiedliche, anhand dynamischer Strommessungen ermittel- . 
bare Stromwerte aufweist, und zwar in Abhangigkeit davon, ob ein bedingter Sprung 
bzw. eine konditioneile Verzweigung ausgefiihrt wird oder nicht. 

1 5 Eine gangige, auch einen Missbrauch durch Ahgreifer ermoglichende Methode zur Soft- 
wareanalyse, zum Beispiel zum Ermitteln-von kryptographischen Schlusseln, besteht 
darin, mittels einer speziellen Timinganalyse bedingte Programmsprunge bzw. konditio- 
neile Programmverzweigungen zu identifizieren und anhand des identifizierten,Pro- 
grammablaufs Ruckschlusse auf die verarbeiteten Daten zu gewinnen. 

20 • 

Damit lassen sich allein mittels des zeitliche'n Ablaufs der bedingten Sprurtginstruktion 

bzw. der konditionellen Verzweigungsinstruktion RuckschlQsse auf die in dieser Instruk- 
tion getesteteh Daten ziehen, was beispielsweise bei einem unbefiigten Angriff auf beson- 
ders sicherheitssensible Abschnitte eines Mikrocontrollerprogramms, wie etwa auf einen. 
25 kryptographischen Schlussel, von extremem Nachteil ist. 

Bei der Implementierung von' Software, die auf einem Mikrocontroller Aktionen aus- 
fuhrt, die fur einen unbefiigten Beobachter verborgen bleiben sollen, besteht also - abs- 
trahiert formuliert - ein wesentliches Problem darin, da(3 der unbefugte Beobachter 
30 mittels physikalischer Messungen Informationen uber den ausgefiihrten Code und uber 
die hierbei benutzten Daten erhalten kann. Diese Problematik tritt insbesondere bei 
sicherheitsrelevanter Software auf, wie sie zum Beispiel in SmartCards verwendet wird. 
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Typische Versuche, Informationen uber den ausgefiihrten Code und liber die hierbei be- 
nutzten Daten zu erhalten, bestehen in Messungen an der Strom- und/oder Spannungs- 
versorgung des Mikrocontrollers. Informationen uber den internen Programmablauf 
konnen aber auch mit anderen physikalischen MeBverfahren gewonnen werden. 

Vor dem Hintergrund der vorstehend geschilderten Mdgliclikeiten, das intern auf einem 
Mikrocontroller ablaiifende Programm auszuspionieren, erscheint die Moglichkeit einer 
Verschleierung dieses Programms erstrebenswert. Konventionellerweise bekannt sind 
bisher allerdings lediglich zufallige Variationen hinsichtlich der einzelnen ausgefiihrten 
Instruktion, nicht jedoch- hinsichtlich groBerer Programmteile, so daB eine Verschleie- 
rung des intern auf dem Mikrocontroller ablaufenden Programms nur bedingt bis gar 
nicht moglich ist. 

Ausgehehd von den vorstehend dargelegten Nachteilen und Unzulahglichkeiten sowie 
unter Wurdigung des umrissenen Standes der Technik (= voUstandig reprpduzierbares 
Abarbeiten des auf einem Mikrocontroller ablaufenden Programms in Abhangigkeit von 
den zu verarbeitenden Daten) liegt der vorliegenden Erfinduhg die Aufgabe zugrunde, 
einen Mikrocontroller der eingangs genannten Art sowie ein Verfahren der eingangs 
genannten Art so weiterzuentwickeln, dass das auf dem Mikrocontroller ablaufende 
Programm fur einen auBeren Beobachter vollig geheim und unvorhersehbar,. das heifit 
nicht reproduzierbar ist. 

Diese Aufgabe wird durch einen Mikrocontroller mit den im Anspruch 1 angegebenen 
Merkmalen sowie durch ein Verfahren mit den im Anspruch 5 angegebenen Merkmalen 
gelost. Vorteilhafte Ausgestaltungen und zweckmaBige Weiterbildungen der vorliegen- 
den Erfindung sind in den jeweiligen Unteransprttchen gekennzeichnet. 

Mithin ist. die Lehre der vorliegenden Erfindung in einem zufallsgesteuerten Ablauf der 
Programmierung im .Mikrocontroller zu sehen. Dies bedeutet, daB es durch geeignetes 
Verarbeiten von mittels mindestens eines Zufallszahlengenerators erzeugten Zufalls- 
zahlen moglich ist, ein auf dem Mikrocontroller ablaufendes Programm fiir einen auBeren 
Beobachter unvorhersehbar und nicht reproduzierbar ablaufen zu lassen. 
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Hierzu kann durch den Einsatz des Zufallszahlengenerators (= des sogenannten 
"Rfahdom] N[umber]G[eneFator] n ). in erfindungswesentlicher Weise eine zur gewiinsch- 
ten Aktion fiihrende Instruktionsfolge aus einer Vielzahl moglicher Instruktionsfolgeii 
ausgewShlt.werden. Da'mehrere verschiedene Instruktionsfolgen zum selben Ergebnis 
fuhren, kann der auBere Beobachter die laufende Aktion des Microcontrollers nicht als 
Folge der ausgewahlten Instruktionsfolge nachvollziehen bzw. analysieren. Durch einen 
derartigen zufalligen Programmablauf werden erfindungsgemafi Ruckschlusse auf verar- 
beitete Daten erheblich erschwert bzw. ganz verhindert. 

Durch die Hardwareimplemeritation des Mikrocontrollers sowie durch das zugeordnete 
Verfahren gemaB der vorliegenden Erfindung wird demzufolge weniger das Beobachten 
als vielmehr das Verstehen sowie Analysieren des internen.Programmablaufs auf dem 
Mikrocontroller erschwert. In diesem Zusammenhang wird davon .ausgegangeji, dass es 
dem unautorisierten bzw. unbefugten Beobachter durchaus gelingen kann, Informationen 
zum ausgefuhrten Code zu erhalten. 

Wesentlicher Bestandteil der vorliegenden Erfindung ist nun die Moglichkeit, Spriinge 
bzw. Verzweigungen im'Programm unabhangig von internen Zustanden der Software in 
zufailliger Weise vornehmen zu konnen. Die Hardware des Mikrocontrollers bietet hier- 
bei zusammen mit dem vorgesehenen Hardware-Zufallszahlengenerator die Moglichkeit, 
einen Programmsprung bzw. eine Programmverzweigung in Abhangigkeit vom Zustand 
des Zufallszahlengenerators durchzufuhren oder abzulehnen. Die Zustande und die 
Werte dieses Zufallszahlengenerators sind nach auBen hin nicht sichtbar. 

GemaB einer besonders erfinderischeri Weiterbildung kann eine gleiche Funktionalitat 
von Programmspriingen bzw. von Programmzweigen durch Ausfuhren verschiedener, 
unterschiedlich implementierter Programmsprunge bzw. Programmzweige erreicht wer- 
den, das heiBt bei gleicher Funktion liegt eine unterschiedliche Kodierung vor. Alternativ 
oder in Erganzung hierzu kann auch gezielt eine unterschiedliche Funktionalitat von Pro- 
grammspriingen bzw. von Programmzweigen herbeigeftihrt werderi. 
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GemaB einer bevorzugten Ausgestaltung der vorliegenden Erfindung ergibt sich eine 
weitere Verbesserung des Unsichtbarmachens von bedingten Spriingen bzw. von kondi- 
tionellen Verzweigungen dann, wenn Vor- und Ritckspriinge bzw. Vor- und Ruckver- 
zeigungen kombiniert werden, so daB sich relativ schnell eine sehr hohe Anzahl von 
unterschiedlich implementierten Programmspriingen bzw. Programmzweigen ergibt, die 
erfindungsgemaB in zufalliger Weise ausgewahlt und ausgefuhrt werden konnen; so 
ergeben sich irn exemplarischen Falle eines binaren Baums mit Vorwartssprungeh zum 
Beispiel sechzehn Spriinge, dasheifit 16 4 = 65.53'6M6gUchkeiten, das Programm unter- 
schiedlich auszufiihren. 
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Fur einen auBeren Beobachter zeigt der Programmablauf erfindungsgemaB ein unvorher- 
.sehbares und nicht reproduzierbares Verhalten: Da aus einem derartigen Programm- 
ablauf bei groBer Sprung- bzw. Verzweigungsanzahl nicht auf interne Zustande oder 
Daten des Mikr6 controllers geschlossen werden kann, wird mit dem Verfahren gemaB 
1 5 der vorliegenden Erfindung eine wirkungsvoUe Methode bereitgestellt, diese Zustande 
und/oder Daten vor einem unautorisierten bzw. unbefugten Beobachter verborgen zu 
halten; dies resultiert in einer gesicherten Operation von Mikrocontrollern, insbesondere 
von; SmartCard-Controllern, vor allem bei bedingten Programmsprungen bzw. bei kondi- 
tionellen Programmverzweigungen. 
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In zweckmaBiger Weise ist die hardwaremaBige Implementierung des MikrocontroUers 
mit Zufallszahlengenerator auf vielfaltige Art und Weise moglich, wobei zum.Durch- 
ftihren des Verfahrens gemaB der vorliegenderi Erfindung vier Wesentliche Implemen- 
tierungsmethoden unabhangig voneinander oder in Kombination miteinander besonders 
25 empfehlenswert sind: 

(i) Lesen der vom Zufallszahlengenerator erzeugten Zufallszahl per Software via 

Register und anschlieBendes Auswerten der gelesenen Zufallszahl mit bedingtem 
Programmsprung bzw. mit konditioneller Programmverzweigung; 
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(ii) bei Anordnung mindestens eines insbesondere bit-adressierbaren.Zufallszahlen- 
• registers (= sogenanntes R[andom]N[umber]R[egister]) im Mikrocontroller: 

Testen auf ein einzelnes Bit des Zufallszahlenregisters und konditionelles 
Verzweigen; 

(iii) Implementieren eines entsprechenden Assemblerbefehls "branch on random bit" 
(= "Zweig auf ZufaUsbit"), wobei ein festgelegtes Bit des Zufallszahlenregisters 
direkt an den Bedingungseingang fur den bedingteh Sprung bzw. fur die kondi- 
tionelle Verzweigung gelegt wird 

(= komfortabelste und schnellste Implementierung mit geringstem Sbftware- 
aufwand); und/oder 

(iv) als Variante zur unter Punkt (iii) beschriebenen Methode: 

• temporares Efsetzen eines A[rithmetic]L[ogic]U[nit]-flag (A[rithmetic] L[ogic] 
U[nit] = logische Recheneinheit, wie sie in MikrocontrOllern vorhanden ist), das 
ublicherweise bediqgte Sprunge bzw. konditionelle Verzweigurigen steuert; 
durch ein Bit des Zufallszahlenregisters; das Ersetzen des ALU-flag kann soft- 

• waremaBig erfolgen, die dem ALU-bit entsprechenden bedingten Sprunge bzw. 
konditionellen V erzweigungen werden dann durch ein Bit des Zufallszahlen- 
registers gesteuert; das ALU-flag steht in. dieser Zeit dann nicht fur bedingte 
Sprunge bzw. fur konditionelle Verzweigungen zur yerfugung. 

Zusammenfassend sind bei der vorliegenden Erfindung also erhebliche VorteUe in den 

A 

erheblich erschwerten Moglichkeiten der Analyse der internen Zustande oder Daten bei 
bedingten Spriingen bzw. bei konditionellen Verzweigungen zu sehen. Mithin fuhrt die 
vorliegende Erfindung unabhangig von der Struktur des (WBkrocontroller-)Programms 
auch stets zu denselben dynamischen Stromwerten und verhindert somit ein missbrauch- 
liches sowie unerlaubtes Ausforschen zeitbedingter dynamischer Stromanalysen. 



-7 
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Die vorliegende Erfindung betrifft schlieBlich ein eiektrisches oder elektroniscljes Gerat, 
gesteuert mittels mindestens eines Mikrpcontrollers der vorstehend dargelegten Art. 

Wie bereits vorstehend erortert, gibt es verschiedene Moglichkeiten, die Lehre der vor- 
liegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Hierzu 
wird einerseits auf die dem Anspruch 1 sowie dem Anspruch 5 nachgeordneten An- 
spriiche verwiesen, andererseits werden weitere Ausgestaltungen, Merkmale und Vor- 
teile der vorliegenden Erfindung nachstehend anhaiid des durch Figur ,1 veranschaulich- 
ten Ausfiihrungsbeispiels naher erlautert. 

Eszeigt: • . 



Fig. 1 in schematischer DarsteUung ein Blockschaltbild eines Ausfiihrungsbeispiels eines 
mit dem Verfahren gemaB der vorliegenden Erfindung betriebenen MikrocontroUers 
15 gemaB der vorliegenden Erfindung. 

In Figur 1 ist ein Ausfuhrungsbeispiel fur eirteh als SmartCard-Controller ausgebUdeten, • 
zum Steuern eines elektrischen oder elektronischen Gerats vorgesehenen Mikrocontrol- 
ler 100 dargestellt, dessen Programmierung in einer maschinenabhangigen Assembler- 
20 sprache vorgenommen ist und abgearbeitet wird. Hierbei werden verfahrensgemSB die 
Assemblerbefehle mit Ausnahme bedingter Programmspriinge bzw. konditioneller 
Programmverzweigungen unabhangig'von Daten ausgefuhrt. 

Der MikrocontroUer 100 zeichnet sich nun dadurch aus, dass dem Mikrocontroller 100 
25 ein Zufallszahlengenerator 10 zugeordnet ist, mittels desseri die Programmspriinge bzw. 
Programmverzweigungen abhangig vom Zustand des Zufallszahlengenerators 1 0 und 
unabhangig vom internen Zustand der Programmierung des MikrocontroUers 100 aus- 
gefuhrt werden kennen. 



30 
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Mithin kann eirie gleiche Funktionalitat von Programmsprungen bzw. von Programm- 
zweigen durch Ausfuhren verschiedener, unterschiedlich implementierter Programme . ' 
sprunge bzw. Programmzweige erreicht werden, das heiBt bei gleicher Funktion liegt 
eine unterschiedliche Kodierung vor. 

Hierzu wird die vom ZufaUszahlengenerator 10,'erzeugte Zufallszahl softwaremaBig via 
Register gelesen und anschlieBend mit bedingtem Programmsprung bzw. mit konditio- 
' neller Programmverzweigung ausgewertet. Alternativ oder in Erganzung hierzu kann 
durch dap Vorhandensein eines bit-adressierbaren, dem ZufaUszahlengenerator 10 zuge- 
ordneten Zufallszahlenregisters 20 auf ein einzelhes Bit des Zufallszahlenregisters 20 
getestet und bedingt gesprungen bzw. konditionell verzweigt werden. 

Die komfortabelste und schnellste Implementierurig mit dem geringsten software- 
technischen Aufwand besteht darin, einen Assemblerbefehl ("branch pn random bit" = 
"Zweig auf Zufallsbit") zu implementieren, wobei ein festgelegtes Bit des Zufallszahlen- 
registers 20 unmittelbar an den Bedingungseingang fur den bedingten Sprung bzw. fur 1 
die konditionelle Verzweigung gelegt wird. 

Die Programmierung des Mikrocontrollers 100 erlaubt auch eine Variante hierzu, bei der 
20 ein bedingte. Sprunge bzw. konditionelle Verzweigungen steuerndes A[rithmetic] L[ogic] 
U[niti-flag softwaremaBig durch ein Bit des Zufallszahlenregisters 20 ersetzt wird, so 
dadd die dem A[rithmetic]L[ogic]U[nit]-Bit entsprechenden bedingten Sprunge durch 
das Bit des Zufallszahlenregisters 20 gesteuert werden. 

25 MittelsdesMIkrocontroUersl00gemaBFigurlsowie.mitt^^^ 

Abarbeiten der Programmierung des MikrocontroUefs 100 kann eben diese auf dem 
Mikrocontroller. 100 ablaufende Programmierung voUstandig verschleiert werden, indem 
' durch geeignetes Verarbeiten der vom ZufaUszahlengenerator 10 erzeugten ZufaUszahlen 
ein auf dem Mikrocontroller 100 ablaufendes Programm fur einen auBeren Beobachter 

30 unvorhersehbar und nicht reproduzierbar ablauft. 
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Hierzu wird durch Einsatz des ZufaUszahlengenerators 10 eine zur gewunschten Aktion 
fuhrende Instruktion aus einer Vielzahl m6glicher Instruktionen ausgewahlt. Da mehrere 
verschiedene Instruktionen zum selben Ergebnis fuhren, kann der auBere Beobachter die 
laufende Aktion des Mikrocontrollers 100 nicht als-Folge der ausgewahlten Instruktxon 
nachvollziehen bzw. analysieren. burch einen derartigen zufalligen Programmablauf 
. werden also Riickschlusse auf verarbeitete Daten erheblich erschwert bzw, ganz 
verhindert. . 
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100 Microcontroller, insbesondere SmartCard-Controller 
10 ZufaUszahlengenerator oder R[andom]N[umber]G[enerator] 
20, insbesondere bit-adressierbares ZufallszaWenregister oder insbeso 
adressierbaresR[andom]N[umber]R[egister] . . 
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1 Microcontroller (100), dessen Programmieruhg in mindestens einer maschinen- 
abhangigen Assemblersprache vorgehommen ist, bei der die Assernblerbefehle nut Aus- 
. nahme bedihgter Programmsprunge bzw. konditioneUer Programmverzweigungen un 
wesentlichen unabhangig von Daten ausfuhrbar sind, 

5 gp.kennzeic-hnet durch 

• mindestens einen dem MikrocontroUer (100) zugeordneten Zufallszahlengenerator (10), 
mittels dessen die Programmsprunge bzw. Programmverzweigiingen 

abhangig vom Zustand des Zufallszahlengenerators (10) und/oder 
. - . unabhangig vom internen Zustand der Prograrnrnierung des MikrocontroUers 

io (loo) ■• . 

ausfuhrbar sind. , 

2. MikrocontroUer gemaB Anspruch 1 , 
gekennzeichnet durch 

15 mindestens ein dem Zufallszahlengenerator (10) zugeordnetes, insbesondere bit- 

adressierbares Zufallszahlenregister (20).. 

3. MikrocontroUer gemaB Anspruch 1 oder 2, 

pekennzeirhnet durch 
20 eine Ausgestaltung als SmartCard-ControUer. 

4. Elektrisches oder elektronisches Gerat, gesteuert mittels mindestens eines Micro- 
controllers (100) gemaB mindestens einem der AnsprQche 1 bis 3. 
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5 VerfahrenzumAbarbeitende^^ . 
sprache vorgenommenen Progranunierung eines Mikrocontrollers (100), wobei die 
Assemblerbefehle mit Ausnahme bedingter Programmsprunge bzw. kondmoneller 
Programmverzweigungen im wesentlichen unabhangig von Daten ausgefuhrt werden, 

5 Hadnrch pe^nnzeichnet, 

dass die Programmsprunge bzw. Programmverzweigungen 

* abhangig vom Zustand mindestens eines Zufallszahlengenerators (10) und/oder 
- . unabhangig vom internen Zustand der Programm^^ 
(1Q0) 

10 ausgefiihrt werden, ' > 

i . . 

6. Verfahren gemaB Anspruch 5, 

Hadnrch geVftnnzeichnet . \ 

dass die vom ZufaUszahlerigenerator (10) erzeugte Zufallszahl softwaremaBig via Regts, 
1 5: ter gelesen wird und anschlieBend die gelesene Zufallszahl mit bedingtem Programm- 
sprung bzw. mit konditioneller Programmverzweigung ausgewertet wird. . 

7. Verfahren gemaB Anspruch ,5 oder 6, 
dadurch gftkennzeichnet 

20 dass bei Vorliegen mindestens eines insbesondere bit-adressierbaren Zufallszahlen- 
. registers (20) auf ein einzelnes Bit des ZufeUszahlenregisters (20) getestet und bedmgt 
gesprungen bzw. konditioneU verzweigt wird. 

* * . 

8. Verfahren gemaB mindestens einem der Anspriiche 5 bis 7, 

25 ge.lcennzeic hnet durch 

das Implementieren mindestens eines Assemblerbefehls ("branch on random bit" - 
"Zweig auf Zufallsbit"), wobei ein festgelegtes Bit des Zufallszahlenregisters (20) ms- 
besondere unmittelbar an den Bedingungseingang fiir den bedingten Sprung bzw. fur die 
konditionelle Verzweigung gelegt wird. 
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9. Verfahren gemaB mindestens einem der Anspriiche 5 bis 8, 
dadurch gftVp.nnzeichnet, 

dass mindestens ein bedingte SprQnge bzw. konditioneUe Verzweigungen steuerndes 
A[rithmetic]L[ogic]U[nit]-flag insbesondere softwaremaBig durch mindestens ein Bit des 
ZufaUszahlenregisters'(20) ersetzt wird, so daB die dem Atrithmetic]L[qgic]U[nit]-Bit 
entsprechenden bedingten Sprunge durch das Bit des ZufaUszahlenregisters (20) 
gesteuert werden. . * 

10. Verwendung eines Mikrocontfollers (100) gemaB mindestens einem der Anspriiche 1 
bis 3 und/oder eines Verfahrens gemaB mindestens einem der Anspriiche 5 bis 9 zum 
vollstandigen Verschleiern der auf dem Mikrocontroller (100) ablaufenden Programmie- 
rung, so daB mindestens ein auf dem Mikrocontroller (100) ablaufendes Programm for 
einen auBeren Beobachter unvorhersehbar und nicht reproduzierbar ist. 
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7.TJSAMMENFASSUNG 

MikrocontroUer und zugeordnetes Verfahren zum Abarbeiten der Programmierung dfcs 
Mikrocontrollers 

Um einen MikrocontroUer (100), dessen Programmierung in mindestens einer maschinen- 
5 abhangigen Assemblersprache vorgenommen ist, beider die Assemblerbefehle mit Aus- 
nahme bedingter Programmsprunge bzw. konditioneUer Programmverzweigungen im 
wesentlichen unabhangig von Daten ausfuhrbar sind, sowie ein Verfahren zum Abarbeiten 
der in mindestens einer maschinenabhangigen Assemblersprache vorgenommenen Program- 
mierung des MikrocontroUers (100) so weiterzuentwickeln, dass das auf dem Mikrocont- 
10 roUer (100) ablaufende Programm fur einen aufieren Beobachter vollig geheim und unvor- 
hersehbar, das heiBt nicht reproduzierbar ist, wird vorgeschlagen, dass die Programm- 
spriinge bzw. Programmverzweigungen 

abhangig vom Zustand mindestens eines Zufallszahlengenerators (10) und/oder 
unabhangig vomiriternen Zustand der Programmierung des MikrocontroUers 

15 (100) 

ausgefuhrt werden. 



Fig. 1 



20. 



PHDE020279 







\ 

'• « 1 1 ' 

i j, 

i | 




-1 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 

BEST AVAILABLE IMAGES 

Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 

□ black borders 

□ image cut off at top, bottom or sides 
ETfaded text or drawing 
□'blurred or illegible text or drawing 

□ skewed/slanted images 

□ color or black and white photographs 

□ gray scale documents 

□ lines or marks on original document 

□ reference(s) or exhibit(s) submitted are poor quality 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



